Appleが買収したWindowsの指紋認証ソフトにパスワードを露呈する脆弱性が存在、非常に多数のメーカー製PCに影響が及ぶことを確認

By smart--ed

2012年7月26日にAppleがセキュリティやID確認などに利用する指紋センサー・チップなどを開発するAuthentec社を3億5600万ドル（約280億円）で買収しましたが、その指紋認証ソフトウェアの中にセキュリティ上の重要な脆弱性が見つかったとのこと。脆弱性はソフトウェアのいずれのバージョンからも検出されており、DellやAcerを初め14以上のメーカーのコンピュータに影響があるとみられています。

Confirmed: Apple-owned fingerprint software exposes Windows passwords | Ars Technica

この脆弱性はUPEK Protector Suiteの中に見つかったもの。このソフトウェアはWindowsのログイン時に指紋認証を要求するセキュリティソフトですが、セキュリティソフトウェア会社のElcomSoft社によると、指紋認証によるログインはレジストリ内にパスワードを記憶していてキーで暗号化しています。しかし、ハッカーはこのキーを簡単に盗み出すことができるため、パスワードまでがわずか数秒で盗まれてしまうとのこと。この脆弱性は、セキュリティコンサルタントであるBrandon Wilsonさんらが独自に侵入テストを行い確認したもの。しかし、今のところAppleはまだ事実を認めておらず、ユーザーにも脆弱性がどういうものであるかということを伝えていない様子です。

By exposedplanet

この指紋認証ソフトウェアが搭載されたPCの多くは企業で使用されており、認証情報が盗まれてしまうと他のシステムにまで攻撃が広がってしまう危険性があるため、Wilsonさんらはユーザーが自分のPCの脆弱性を確認できるよう、侵入テストで使われたオープンソース・ソフトウェアを追加情報とともにリリースする予定です。

By Defence Images

UPEK Protector Suiteが作動していない時、ユーザーが自動ログインの設定を行わない限り、Windowsはアカウントのパスワードをレジストリに記憶することはありません、そのため、自動ログインの設定を行わないことがオススメされています。侵入テストによれば、Protector SuiteでWindowsのログイン機能を無効にしてもレジストリキーからパスワードは削除されませんが、アプリケーションからユーザーのパスポートを削除するとパスワードもまた削除されるだろう、とのことです。アプリケーションをアンインストールする場合はパスポートデータも削除するかどうか、という選択肢が現れるので、それを削除すればパスワードもまた削除されます、とWilsonさん。

By John Wennerberg

WilsonさんによればDellやAcerのほかにAmoi、ASUS、CLEVO、Compal、Gateway、IBM/Lenovo、Itronix、MPC、MSI、NEC、Sager、SAMSUNG、SONY、東芝といったメーカーのPCにおいても脆弱性が確認されました。ちなみに、LenovoのPCの場合はUPEKの指紋認証ソフトウェアがThinkVantageという名前でインストールされています。

なお、この脆弱性に関して問い合わせたメールにはApple、Authentecともにコメントしなかった、とのこと。